Skip to main content

简化PCI合规性的5个技巧

如果您是小商人,PCI合规性可能看起来像是一种神秘的艺术,但您在危险时忽略它。如果不符合支付卡行业(PCI)安全标准委员会制定的安全标准,则每月将收取5,000美元至100,000美元的罚款。

PCI数据安全标准(DSS)和许多其他支持文档可轻松从理事会的网站,但对于没有IT安全专业人员的小企业来说,这些要求可能令人困惑。但是,您可以采取一些措施来缓解遵从性流程以及其规定的安全措施。虽然我仍然建议雇用合格安全性评估师(QSA),但这些提示可以指引您朝着正确的方向。

不要存储任何持卡人数据

为了大大简化PCI遵从性所需的安全措施,请勿以书面或数字形式保存或存储任何持卡人数据。使用不会在系统上保留这些信息的读卡器,POS和/或支付处理器,这样您就不必担心保护和加密数据。

[进一步阅读:如何从Windows PC删除恶意软件]

不要存储信用卡的认证信息

如果您需要保留持卡人数据以便重复使用计费或其他所需的业务目的,请咨询您的付款处理器,看看他们是否提供允许您在系统上输入和存储数据的选项。如果您必须自己存储数据,请记住您必须遵循更多的安全措施,并且永远不会存储敏感的身份验证信息:完整磁条数据,安全代码或PIN。

选择符合PCI规范Web主机

如果您通过您的网站销售产品或进行付款,请选择符合PCI的网络主机计划和电子商务或购物车应用程序。一些网络托管公司在他们的网站上公开发布他们的合规细节,但在很多情况下,你必须询问销售或支持部门。对于电子商务应用程序和购物车,您可以参考PCI理事会的验证支付应用程序列表。

如果您使用更便宜的共享托管计划,由于服务器方式的原因,您可能会有更强的实现PCI合规性的机会被分成多个网站所有者。但是,如果您选择托管支付解决方案,并将客户转发到符合规定的网站以输入其信用卡详细信息(如PayPal Standard,2Checkout或Authorize),则您可能无法使用其中一种(甚至不符合规定)。净。即使您的网站托管计划符合您的要求,您也可能需要考虑托管支付解决方案,以减少您必须采取的安全措施。但是,如果您希望将付款流程完全集成到您的网站中,则可能需要使用更昂贵的虚拟专用或专用服务器,这些服务器通常符合PCI标准。

使用拨号终端而非IP终端

拨号信用卡终端连接到您的电话线并与支付处理器进行通信,类似于旧的56K调制解调器连接到拨号互联网的方式。它们比基于IP的终端要慢,但它们可以大大减少您的持卡人数据环境 - 存储,处理或传输持卡人信息的计算机和组件,因此降低了您必须遵循的安全措施。

无论如何您选择的信用卡终端或POS系统的类型,通过供应商或通过检查来自PCI理事会的经批准的PIN交易安全设备和/或经验证的支付应用程序列表来确保其符合PCI。同时与供应商联系,了解他们的终端是如何工作的,并询问那些能够降低合规性的人。

使用单独的网络进行支付处理

如果您确实使用基于IP的信用卡终端,则可能更易于通过自己的Internet连接为完全独立的网络进行付款处理。这可以缓解您在初始网络设置过程中必须采取的安全措施,以及未来必须遵守的安全措施,以确保符合PCI标准。

安全移动读卡器

对于提供现场服务的小型企业,移动读卡器解决方案像Square,GoPayment或PayPal这里非常有吸引力。它们提供了一种快速简单的方式来开始接受信用卡付款,并可通过手机数据或Wi-Fi连接与智能手机或平板电脑一起使用。尽管目前的PCI DSS要求(版本2.0)并未专门针对移动读卡器,但仍需要企业确保这些解决方案符合PCI标准。

PCI已发布安全指南,以确保您使用的移动支付解决方案你的智能手机或平板电脑。基本上你应该确保移动设备的物理和数字安全不被盗用,未经授权的使用,恶意软件和黑客入侵。不要越狱或根源于设备,或启用其他可能导致设备不安全的功能,例如Android设备上的USB调试。安装防病毒应用程序并仅从官方应用程序商店等可信来源下载应用程序。请记住,如果移动设备在使用读卡器的情况下在业务控制下连接到Wi-Fi连接,则网络必须符合PCI标准。